CVE-2023-22522 に関する FAQ
プラットフォームについて: Data Center のみ。 - この記事は、 Data Center プラットフォーム。
この KB は Data Center バージョンの製品用に作成されています。Data Center 固有ではない機能の Data Center KB は、製品のサーバー バージョンでも動作する可能性はありますが、テストは行われていません。 Server* 製品のサポートは 2024 年 2 月 15 日に終了しました。Server 製品を実行している場合は、 アトラシアン Server サポート終了 のお知らせにアクセスして、移行オプションを確認してください。
*Fisheye および Crucible は除く
一般情報
Confluence Server と Data Center で、リモート コード実行 (RCE) に関するクリティカルな重大度の脆弱性が見つかりました (CVE-2023-22522)。
このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。
私の Confluence インスタンスは影響を受けますか?
Confluence Data Center と Server のバージョン 4.0.0 以降のすべてのバージョンが、この脆弱性の影響を受けます。このテンプレート インジェクションに関する脆弱性により、認証された攻撃者 (匿名アクセスを持つ者を含む) が安全でないユーザー入力を Confluence ページに挿入することができます。このアプローチにより、影響を受けるインスタンスにおいて、攻撃者がリモート コード実行 (RCE) を行えます。
アトラシアンでは、脆弱性のあるインストールに対して、以下に示す修正バージョン (または最新のバージョン) にパッチすることを強く推奨します。
製品 | 修正済みバージョン |
|---|---|
Confluence Data Center および Confluence Server | 7.19.17 (LTS) 8.4.5 8.5.4 (LTS) |
Confluence Data Center | 8.6.2 以降 (Data Center のみ) 8.7.1 以降 (Data Center のみ) |
ℹ️ 注意: Confluence 8.6 以降、新しい Confluence リリースは Data Center ライセンスのみをサポートします。バージョン 8.6 以降にアップグレードする場合は、有効な Data Center ライセンスをお持ちであることをご確認ください。
クラウド インスタンスは影響を受けますか?
Atlassian Cloud インスタンスは CVE-2023-22522 の影響を受けません。 Confluence サイトへのアクセスが atlassian.net ドメイン経由である場合、そのサイトはアトラシアンがホストしており、脆弱性の影響を受けることはありません。
他のアトラシアン製品はこの脆弱性の影響を受けますか?
現在の情報によると、他のアトラシアン製品は CVE-2023-22522 の影響を受けません。 他の製品においてこの脆弱性への対応は必要はありません。 使用している他のアトラシアン製品に影響を与える可能性のあるその他の最新のセキュリティ勧告については、アトラシアン セキュリティ勧告ページを確認してください。
当社のインスタンスはインターネットに接続されていません。
Confluence インスタンスがインターネットからアクセスできない場合、悪用されるリスクは軽減されますが、完全に軽減されるわけではありません。
引き続き、CVE-2023-22522 に関する「Confluence セキュリティ勧告」ページに記載されている最新のパッチを適用することを強くお勧めします。
パブリック インスタンスでは匿名アクセスを許可していません。
これは認証済みユーザーによるリモート コード実行の脆弱性です。 したがって、匿名アクセスが許可されない場合は、 潜在的な攻撃者がインスタンス上で認証する方法を見つける必要があるため、リスクが軽減します。。
引き続き、CVE-2023-22522 に関する「Confluence セキュリティ勧告」ページに記載されている最新のパッチを適用することを強くお勧めします。
私のインスタンスはインターネットに公開されていません。引き続きアップグレードが推奨されますか?
はい。パブリック インターネットに公開されていないインスタンスでは、CVE-2023-22522 に対する攻撃対象の領域が軽減されますが、関連するパッチの適用を強くお勧めします。
影響を受けるバージョンの Confluence を実行しています。パッチが可能になるまで、何をすればいいですか??
Confluence Data Center と Server インスタンスに対して、ただちにパッチを適用できないお客様は、リスクを軽減するために次の手順を実行することをお勧めします。
1. ただちにシステムをインターネットから切り離します。
2. インスタンスのデータを Confluence インスタンス外の安全な場所にバックアップします。
3. 社内のセキュリティ チームに連絡して、潜在的な悪意のあるアクティビティがないかを確認します。
Confluence のバックアップに関するガイダンスは、次をご参照ください: 本番環境バックアップ ストラテジー | Confluence Data Center と Server 8.6 | アトラシアン製品ドキュメント
この修正は、EOL/LTS 以外の Confluence バージョン (例: 7.20.x) にも含まれていますか?
クリティカルな重大度の脆弱性 (CVE-2023-22522 など) に関しては、セキュリティ バグ修正ポリシーに沿って Confluence バグ修正リリースが発行されます。
ポリシーに従って、アトラシアンはサポート終了に達していない長期サポート (LTS) リリースとして指定されているバージョン (例: Confluence 7.19.x、Confluence 8.5.x) の修正をバックポートします。
さらに、アトラシアンは、クリティカルなセキュリティ修正を、セキュリティ修正がリリースされた日から 6 か月以内にリリースされたすべての機能バージョンにバックポートします。たとえば、Confluence 7.20 は 2022 年 10 月にリリースされました。このバージョンはリリースされてから 6 か月以上が経過しているため、修正が Confluence 7.20 にバックポートされません。
詳細は、アトラシアンのセキュリティ バグ修正ポリシー ドキュメントをご覧ください。
CVE-2023-22522 に関するエクスプロイトの IOC (潜在的侵害の兆候) はありますか?
連鎖攻撃に加えて複数の侵入口が存在する可能性があるため、侵害の可能性があるすべての指標を列挙することは困難です。
Confluence インスタンスを保護するために、お客様によるアクションが直ちに必要です。
CVE-2023-22522 で概説されているように、脆弱なインスタンスにおいては、ただちに最新の長期サポート (LTS) リリース (または修正を含む最新バージョン) へのパッチを実行することを強くお勧めします。
CVE-2023-22522 は、設定済みのアプリケーション トンネルまたはアプリケーション リンクに影響しますか?
アプリケーション トンネルやアプリケーション リンクには影響はありません。
社内にセキュリティ チームがない場合はどうしたら良いですか?
専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。
この内容はお役に立ちましたか?